perdida de paquetes en openvpn

Imagen de elgabo

Forums: 

Hola a todos,

Esta semana ha pasado algo raro con mis servidores VPN. Los utilizo para interconectar 2 oficinas y no han estado dando problemas para nada en estos ultimos 3 meses, pero justamente esta semana ha habido una perdido exagerada de paquetes (entre 20% y 40%)

aparte de unos tiempos de respuesta promedio de 1000ms. No se por donde empezar a revisar el problema, en las redes internas no hay problema, pues hago ping a los respectivos gateways de cada red y no se ve una perdida exagerada de paquetes, pero si hago ping desde una maquina de la red A al gateway de la red B se ven como los tiempos de espera se agotan (no recibe una respuesta desde B). Analizando con tshark el ping request desde la red A si llega al gateway B, el reply se envia pero no llega hasta A (de hay que el tiempo de espera se agote). Como podria revisar si es problema de ancho de banda o de configuracion de VPN?

Gracias por su ayuda.

PD: algo que me esta olvidando de comentar. Los tiempos de respuesta a la ip publica del gateway B son bastante buenos, 250ms promedio. Segun yo, si fuera saturacion del ancho de banda el ping a la ip publica tambien tuviera tiempos de respuesta altos y este no es el caso.

Una vez mas gracias por cualquier comentario.
Hasta pronto.

De todas maneras me deberías

Imagen de jcyepez

De todas maneras me deberías dwescartar que sea tráfica desde y hacia el internet. Verifica con iptraf o alguna de esas herramientas que tráfico tienes, puede ser correo masivo que te estén enviando o alguna de esas cosas.

Otro problema común es cuando usas proveedores con enlaces inalámbricos, la típica pérdida de paquetes se debe a los apuntalamientos de las antenas.

En fin yo descartaría el tema de tráfico y enlaces de internet.

Saludos

Juan Yépez
0993681879
Dj - Discomovil Quito

para descartar congestion en

Imagen de elgabo

para descartar congestion en el ancho de banda utlizamos en el gateway B otro proveedor de internet y funciono, al parecer si era congestion en el ancho de banda. Aqui lo que hice:

Agregue la direccion ip de mi nuevo proveedor a la eth1 quedando asi:

eth0: ip_proveedor_1 (ip publica)
eth1: ip_proveedor_2 (ip publica)
eth2: ip_interna_gw (ip privada)

el default gateway es el del proveedor 1
adiciono una ruta estatica al archivo /etc/sysconfig/network-scripts/route-eth1 (si no existe crearlo)


ip_cliente_vpn via ip_gateway_proveedor_2

de esta forma todos los paquetes de VPN seran enviados a traves de la red del proveedor 2. En el archivo de configuracion del servidor vpn utilizamos la order local


port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

#ip de vpn
server 10.10.10.0 255.255.255.0

ifconfig-pool-persist ipp.txt

#ruta para red local
push "route 192.168.1.0 255.255.255.0"

local ip_proveedor_2 # <------ con este parametro le dices que la vpn utilice esta ip para comunicarse
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 4

client-config-dir ccd
route 192.168.2.0 255.255.255.0
client-to-client
push "route 192.168.2.0 255.255.255.0"

ahora en el lado del cliente tendremos que decirle que utilice como servidor la ip publica del proveedor 2 ya que hay esta escuchando el demonio openvpn


client
dev tun
proto udp
remote ip_proveedor_2 1194
resolv-retry infinite
nobind

user nobody
group nobody

persist-key
persist-tun
ca ca.crt
cert gwgye.crt
key gwgye.key
comp-lzo
verb 4

log /var/log/openvpn.log
verb 3

de esta forma los paquetes VPN utliizan el ancho de banda del proveedor 2, para acceso a internet se utiliza el ancho de banda del proveedor 1.
Pero como nada viene gratis en este mundo, ahora no podras acceder a la ip publica del proveedor 1 desde el cliente vpn, porque si bien el paquete si llega al servidor de vpn, al salir la respuesta lo hara a traves de la interface del proveedor 2. Esto me parece que se puede solucionar con iptables y tabla "mangle", pero eso requiere un poco mas de investigacion. Igual se puede ingresar si se accesa a la ip interna del servidor VPN.

Espero que le sirva a alguien que halla estado en mi caso.

Hasta luego

Imagination is more important than Knowledge -- Albert Einstein
Errar es humano, pero para dañar las cosas realmente bien, pero bien de verdad, necesitas la contraseña de root.

no, yo pienso que es

Imagen de Epe

no, yo pienso que es congestionamiento o pérdida de paquetes ente ambos extremos, monta un cacti o mrtg para monitorear tráfico, por ahi me inclinaría más.

si el enlace no está congestionado y no hay perdida de paquetes entre ambos extremos entonces no puede haber problemas con la vpn pienso yo...

por si acaso sube el verbose a ver si se está cayendo la conexión.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre